VPN是虚拟专用网络，用于在公共网络上构建私人专用虚拟网络，并在这个虚拟网络中传输私网流量。在不改变网络现状的情况下，VPN将现有的物理网络分解为逻辑隔离网络，实现安全可靠的连接。

VPN具有以下两个基本特征：

专用网络：对于VPN用户来说，使用VPN与使用传统专网没有区别。VPN与底层承载网络保持资源独立，即VPN资源不被网络中非VPN用户使用，VPN可以提供足够的安全保障，确保VPN内部信息不受外部干扰。虚拟：用户不再需要有实际的专用长途数据线，而是使用Internet的长途数据线建立自己的私有网络。VPN用户内部的通信是通过公共网络进行的，而这个公共网络同时也可以被其他非VPN用户使用，VPN用户获得的只是一个逻辑意义上的专网。

VPN常见技术

隧道技术：隧道两端封装、解封装，用于建立数据通道，身份证：确保接入VPN的操作人员的合法性、有效性，数据认证：数据在网络传输过程中不被非法篡改，加解密技术：确保数据在网络中传输时不被非法获取，密钥管理技术：在不安全的网络中安全地传递密钥。

VPN的产生背景

在VPN（VirtualPrivateNetwork）在出现之前，跨越Internet的数据传输只能依靠现有的物理网络，这是一个很大的不安全因素。企业的总部和分支机构位于不同的地区（如不同的国家或城市）。当分支机构的员工需要访问总部服务器时，数据传输应通过互联网进行。由于Internet中存在多种不安全因素，则当分支机构的员工向总部服务器发送访问请求时，报文容易被网络中的黑客窃取或篡改。最终导致数据泄露，重要数据被破坏等后果。VPN出现前的报文传输，为了防止信息泄露，可以在总部和分支机构之间搭建一条物理专网连接，但其费用会非常昂贵，此时可以考虑采用VPN的方案进行解决。

VPN封装原理

VPN的基本原理是利用隧道（Tunnel）技术，封装传输报文，利用VPN骨干网建立专用数据传输通道，实现报文的安全传输。隧道技术使用一种协议封装另外一种协议报文（通常是IP报文），而封装后的报文也可以再次被其他封装协议所封装。若有VPN隧道，则数据传输如下图所示。当分支机构员工访问总部服务器时，报文封装过程如下：经过VPN封装后的报文传输，报文发送到网关1时，网关1识别出该用户为VPN用户后，发起与总部网关即网关2的隧道连接，从而网关1和网关2之间建立VPN隧道。将数据封装在VPN隧道中，发送给网关2。网关2收到报文后进行解封装，并将原始数据发送给最终接收者，即服务器。反向的处理也一样。VPN网关在封装时可以对报文进行加密，使Internet上的非法用户无法读取报文内容，因此通信安全可靠。

VPN的优势

与传统的数据专网相比，VPN具有以下优点：安全：在远端用户、海外机构、合作伙伴、供应商和公司总部之间建立可靠的连接，以确保数据传输的安全。廉价：利用公共网络进行信息交流，企业可以以较低的成本与远程办事机构、出差人员和业务伙伴联系。支持移动业务：支持驻外VPN用户在任何时间、任何地点的移动访问，能够满足日益增长的移动业务需求。可扩展性：由于VPN为逻辑上的网络，物理网络中增加或修改节点，不影响VPN的部署。

VPN的应用场景及选择

VPN适用于以下基本场景，以及从以下场景中衍生出来的复杂场景。通过对比各种VPN的特性，可以选择合适的VPN类型。site-to-siteVPN，site-to-siteVPN即两个局域网之间通过VPN隧道建立连接。企业的分支和总部分别通过网关1和网关2连接到Internet。由于业务需要，企业分公司和总部经常相互发送内部机密数据。为了保护这些数据在Interner中安全传输，在网关1和网关2之间建立VPN隧道。

site-to-siteVPN组网图

这一场景的特点是：两端网络通过固定网关连接到Internet，组网相对固定。而且访问是双向的，也就是说，分支机构和总部都有可能向对端发起访问。适用于比如连锁超市、政府机关、银行等的业务通信。此场景可以使用以下几种VPN实现：IPSec、L2TP、L2TPoverIPSec、GREoverIPSec、IPSecoverGRE。两端相互访问较频繁，传输的数据为机密数据，且任何用户都能访问对端内网，无需认证时，可采用IPSec方式。只有一端访问另一端，且访问的用户必须通过用户认证时，可采用L2TP方式。如果只有一端访问另一端，传输数据为机密数据，且访问的用户必须通过用户认证，可采用L2TPoverIPSec方式，安全性更高。GREoverIPSec隧道和IPSecoverGRE隧道都可以用来安全的传输数据，两者的区别在于对数据的封装顺序不同。GREoverIPSec在报文封装时，是先GRE封装然后再IPSec封装；IPSecoverGRE在报文封装时，是先IPSec封装再GRE封装。由于IPSec无法封装组播报文，因此IPSecoverGRE隧道也无法传输组播数据。如果隧道两端要传输组播数据时，就要采用GREoverIPSec方式，client-to-siteVPN，client-to-siteVPN即客户端与企业内网之间通过VPN隧道建立连接。外出差员工（客户端）跨越Internet访问企业总部内网，完成向总部传送数据、访问内部服务器等需求。为确保数据安全传输，可在客户端与企业网关之间建立VPN隧道。client-to-siteVPN组网图，这种场景的特点为：客户端的地址不固定。而且访问是单向的，即只有客户端向内网服务器发起访问。适用于企业出差职工或临时办事处职工通过手机、电脑等方式进入总部远程办公。

此场景可以使用以下几种VPN实现：SSL、IPSec（IKEv2）、L2TP、L2TPoverIPSec。如果对客户端没有要求，但要访问的服务器应该为不同类型的用户开放不同的服务，并制定不同的策略，则可以使用SSL。如果需要频繁访问某些固定的总部服务器，并且服务器功能对所有用户开放，出差员工或临时办事处员工可以采用L2TPoverIPSec方式。

BGP/MPLSIPVPN

BGP/MPLSIPVPN主要用于解决跨域企业互联等问题。目前，企业越来越区域化和国际化，同一企业不同区域的员工需要通过服务提供商网络进行互访。为了严格控制用户访问，确保数据安全传输，服务提供商的网络往往相对庞大和复杂。需要在骨干网上配置BGP/MPLSIPVPN功能，实现不同区域用户之间的访问需求。BGP/MPLSIPVPN为全网状VPN，即每个PE和其他PE之间均建立BGP/MPLSIPVPN连接。服务提供商骨干网的所有PE设备都必须支持BGP/MPLSIPVPN功能。